多重因素驗證 (MFA)
配置 AppScan® 以在登入時使用一次性密碼或安全性問題(多重因素驗證)。
一次性密碼 (OTP)
如果您的應用程式使用 OTP,請選取下列兩個選項之一,否則請保留預設設定:無。
當您記錄登入程序時,AppScan 會從流量擷取相關參數,並新增到「OTP HTTP 參數」清單中。此外,也會新增至「自動表單填入」視圖中的 OTP 項目。如果 AppScan 無法識別參數,您必須在這個視圖或「自動表單填入」視圖中自行新增。
Limitations:
- 每次掃描都只支援一個 OTP 類型(TOTP 或 URL 產生的)。
- 若為 TOTP,僅支援數值。
- 只有在使用 Chromium 瀏覽器來記錄「登入」時,才支援 OTP。如果使用 Internet Explorer,則不支援此功能。
- 配置 OTP 時,「動作型」必須是 登入播放 中選取的「登入播放」方法。OTP 將無法使用要求型登入。
如何識別 OTP HTTP 參數
AppScan 需要知道包含 OTP 的參數名稱(以便能夠登入應用程式),並且通常會在驗證「已記錄的登入」程序時識別它。如果無法這樣做,或如果您使用「自動登入」,則必須自行新增參數。
若要識別參數,請執行下列動作:
- 開啟瀏覽器,並移至應用程式的登入頁面。
- 按一下 F12 以開啟瀏覽器的開發人員工具窗格(在主要瀏覽器窗格的右側或下方開啟)。
- 按一下「元素」標籤以檢視 HTML 程式碼。
選取程式碼的一部分時,會在主要瀏覽器窗格中強調顯示該元素。
- 尋找強調顯示 OTP 欄位的元素。例如:
<input type="text" name="OTPvalue" value="">
- name 參數的值(不含引號)是您需要的 OTP HTTP 參數。例如:
OTPvalue
- 如果有多個 OTP HTTP 參數,請按一下 新增另一個以視需要新增其他欄位。
安全問題
如果您的應用程式使用安全性問題,您可在此新增。
如要新增安全性問題:- 按一下 + 新增。
- 輸入問題和答案,如果有的話,也可選擇輸入參數,然後按一下套用。